Einige investieren gar nichts, andere schützen Ihr Unternehmen wie Fort-Knox. Trotz zunehmender Meldungen über erfolgreiche Hacker-Angriffe und Datendiebstähle,  scheint der deutsche Mittelstand dabei die Ruhe selbst zu sein. Die wenigsten haben jedoch Kenntnis über bestehende Sicherheitslücken ihrer IT oder bekommen mit, wenn ihr Unternehmen angegriffen wird. So können sich Hacker unbemerkt in den IT-Systemen einnisten und in aller Ruhe kritische Daten abgreifen.

Was also ist zu tun? Gar nichts zu investieren ist natürlich der falsche Weg, genauso wenig wie übertriebene Schutzmaßnahmen. Nachfolgende Maßnahmen können dabei helfen, einen individuellen Plan für mehr IT-Sicherheit zu entwickeln.

1. Geschäftsführung einbinden: Die Wichtigkeit es Themas muß ihr bewusst sein, insbesondere da solche Maßnahmen nur Geld kosten und nicht zum Erfolg beitragen. Wichtig: Kommen Verantwortliche ihrer Vorsorgepflicht nicht nach, handeln sie grob fahrlässig und haften auch persönlich dafür, wenn sie der IT-Sicherheit nicht genügend Beachtung schenken und dem Unternehmen ein finanzieller Schaden entsteht.
2. Verantwortlichkeiten müssen im Vorfeld festgelegt werden: Jedes Unternehmen sollte einen IT-Sicherheitsverantwortlichen festlegen und ein ausreichendes Budget zur Verfügung stellen. Es sollte klar sein, IT-Sicherheit ist eine Daueraufgabe!
3. Schutzbedarf ermitteln:Es sollte die Frage geklärt sein, welche Risiken überhaupt bestehen. Hierzu muss zunächst anhand der BSI-Schutzziele ermittelt werden, welche geschäftskritischen Informationen und Prozesse überhaupt vorhanden sind. Beispiele hierzu: Ein Unternehmen mit Fokus auf Forschung und Entwicklung lebt von seinen Ideen und Patenten. Das Risiko ist hier die Wirtschaftsspionage. Es muss also alles daran setzen, dass niemand an diese Unterlagen kommt. Ein Online-Shop lebt vom Handel. Ist der Shop aufgrund eines Angriffs tagelang nicht erreichbar, geht bares Geld und das Vertrauen der Kunden verloren. Der Schwerpunkt des Sicherheitskonzeptes sollte hier auf der Webseite liegen. Ein kleiner Bauunternehmer nimmt an zahlreichen Ausschreibungen teil. Kommt die Konkurrenz an die Preise in den Ausschreibungsunterlagen, kann eine gute Auftragslage schnell vorbei sein.
4. IST-Aufnahme: IT-Systeme, Netze und alle Endgeräte (auch mobile!) müssen hier identifiziert werden und deren besondere Risiken.
5. Konzept erstellen und Budget festlegen: Relevant ist hier der Geschäftszweck und die Prozesse, nicht unbedingt die Unternehmensgröße. So könnte ein 10 köpfiges Beratungsteam aus der Finanzbranche umfangreichere Sicherheitsmaßnahmen benötigen als ein Unternehmen mit 200 Mitarbeitern mit risikoarmem Standardgeschäft. Neben den rein technischen sollten auch die nachfolgenden organisatorischen Maßnahmen berücksichtigt werden:
   - Mitarbeiter aufklären und sensibilisieren
   - Wer darf was? Benutzerrichtlinien festlegen
   - Basisschutz wie eine Firewall mit zentralem Malwareschutz, Antivirenschutz, Patchmanagement sowie ein Intrusion-Prevention-System (IPS)
   - Zusätzlicher Schutz mit überschaubarem Aufwand wie ein Mobile Device Management, Sandboxing
   - Schutz von Online-Shops und Webanwendungen z.B. vor Denial-Service-Angriffen
   - Früherkennung von Angriffen z.B. mit einer SIEM-Lösung (Security Information and Event Management)
6. Umsetzung des Sicherheitskonzeptes: Realisierung der Maßnahmen nach Meilensteinen
   
7. Standards für mehr Sicherheit: Einhaltung von ISO-Standards oder BSI IT-Grundschutz bieten eine anerkannte Methodik IT-Sicherheit ins Unternehmen zu integrieren.
8. Regelmässige Reviews und Prüfung: Anpassung und Überprüfung, um auf Veränderungen der Risiken und Bedrohungen reagieren zu können.

Haben Sie Fragen hierzu oder möchten Sie hinsichtlich eines IT-Sicherheitskonzeptes beraten werden?

Wir ermitteln Ihren individuellen Schutzbedarf.